[RFR2] wml://lts/security/2020/dla-220{1,2}.wml

[JP Guillonneau <guillonneau.jeanpaul@free.fr>]

Bonjour,

le mercredi 06 mai 16:02, Grégoire Scano a écrit :

>quelques suggestions.
>
Merci Grégoire, intégrées

Les fichiers sont aussi ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-xxxx.wml

Autre chance de commentaire.

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="ead2e8d97a3a41854042efd7727b6da7fe4b05b7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités ont été découvertes dans Ansible, un système de
gestion de configuration, déploiement et exécution de tâches.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-14846";>CVE-2019-14846</a>

<p>Ansible journalisait au niveau DEBUG, ce qui conduisait à une divulgation
dâ??accréditations si un greffon utilisait une bibliothèque qui journalisait les
accréditations au niveau DEBUG. Ce défaut nâ??affecte pas les modules Ansible,
comme ceux exécutés dans un processus distinct.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-1733";>CVE-2020-1733</a>

<p>Un défaut de situation de compétition a été découvert lors de lâ??utilisation
dâ??un « playbook » avec un « become user » sans droits. Lorsquâ??Ansible avait
besoin dâ??exécuter un module avec « become user », le répertoire temporaire était
créé dans /var/tmp. Ce répertoire était créé avec « umask 77 &amp;&amp; mkdir -p dir ».
Cette opération nâ??échouait pas si le répertoire existait déjà  et appartenait à 
un autre utilisateur. Un attaquant pourrait exploiter cela pour contrôler le
« become user » car le répertoire cible pouvait être retrouvé par itération sur
« /proc/pid/cmdlinez.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-1739";>CVE-2020-1739</a>

<p>Un défaut a été découvert lorsque le mot de passe est réglé avec lâ??argument
<q>password</q> du module svn, utilisé sur la ligne de commande de svn,
lâ??exposant aux autres utilisateurs appartenant au même nÅ?ud. Un attaquant
pourrait exploiter cela en lisant le fichier de ligne de commande à partir de ce
PID particulier du procfs.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-1740";>CVE-2020-1740</a>

<p>Un défaut a été découvert lors de lâ??utilisation dâ??Ansible Vault pour
lâ??édition de fichiers chiffrés. Quand un utilisateur exécute « ansible-vault
edit », un autre utilisateur sur le même ordinateur peut lire lâ??ancienne et la
nouvelle phrase secrète car elle est créée dans un fichier temporaire avec
mkstemp et le descripteur de fichier renvoyé est fermé et la méthode write_data
est appelée pour écrire la phrase secrète dans le fichier. Cette méthode détruit
le fichier avant de le recréer de manière insécurisée.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.7.2+dfsg-2+deb8u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets ansible.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2202.data"
# $Id: $

#use wml::debian::translation-check translation="a5e4e9174786c758beaf054ccc6c89b05a203dc4" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Une vulnérabilité de déni de service a été découverte dans ntp, le client/serveur
du protocole de synchronisation horaire.</p>

<p>ntp permettait à un attaquant « hors chemin » (off-path) de bloquer une
synchronisation non authentifiée à l'aide d'un mode serveur avec une adresse
IP source usurpée car les transmissions étaient reprogrammées même si un paquet
nâ??avait pas dâ??estampille temporelle valable (origin timestamp).</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-11868";>CVE-2020-11868</a>

<p>ntpd dans ntp avant la version 4.2.8p14 et les versions 4.3.x avant la
version 4.3.100 permettait à un attaquant « hors chemin » de bloquer une
synchronisation non authentifiée à l'aide d'un mode serveur avec une adresse
IP source usurpée car les transmissions étaient reprogrammées même si un paquet
nâ??avait pas dâ??estampille temporelle valable.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1:4.2.6.p5+dfsg-7+deb8u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets ntp.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2201.data"
# $Id: $